О новых Постановлениях Правительства о руководителе ИБ и службе ИБ

О новых Постановлениях Правительства о руководителе ИБ и службе ИБ

На просторах Интернета почти спустя месяц после указанного в 250-м Указе срока появился проект Постановления Правительства об утверждении типового положения о заместителе руководителя организации по вопросам ИБ и типового положения о подразделении ИБ. И хотя у меня на сегодня была запланирована немного иная заметка, я не мог пройти мимо этого проекта; надеясь (хотя это и маловероятно), что в него еще успеют внести поправки, потому что в текущем виде он не выполним ????

Интересно, что данные положения, в случае принятия, вступят в силу сразу, без какого-либо переходного периода. И если актуализировать или написать с нуля положение по подразделению ИБ не выглядит сложным, то вот с заместителем руководителя организации есть нюансы.

Типовое положение по заместителю руководителя

Основной нюанс касается требований к образованию. Если раньше еще были вопросы, авторы положения пойдут по пути определения нужных компетенций и навыков или по более простому пути указания нужного уровня образования, то выложенные проекты развеяли весь туман — выбран более простой путь. Ответственный за ИБ, который должен подчиняться руководителю организации и входить в состав основных коллегиальных (совещательных) управленческих и исполнительных органов организации, должен иметь либо высшее профильное образование не ниже уровня специалитета или магистратуры, либо просто иметь высшее образование, но при этом пройти профессиональную переподготовку по ИБ. Кстати, согласно проведенному мной опросу , у нас только у половины ИБшников профильное высшее образование.

И тут, конечно, есть свои тонкости. ВУЗов, которые бы у нас готовили специалистов или магистров по ИБ, не так уж и много (список посмотреть можно на сайте УМО по ИБ) и все вместе они не в состоянии подготовить 500 тысяч замов по ИБ. И, кстати, вопрос. ИБшников сегодня готовят не только по ФГОСам, но и вне них. И тут вопрос — что будет считаться подтверждением профильного образования? Что должно быть написано в дипломе?

Откуда выплыло число 500 тысяч компаний, попавших под действие Указа? Это оценка ФСТЭК, представленная в пояснительной записке к одному из представленных ими проектов НПА по КИИ.

Роль заместителя генерального директора по ИБ, особенно в крупных компаниях, вполне может быть отдана людям, которые давно работают в ИБ, но при этом получали образование до 1992-го года, когда в России начали преподавать ИБ, как открытую специальность. И чем они подтвердят свое образование? Идти на курсы переподготовки?

С профпереподготовкой у нас тоже не все так радужно. Формально, она должна быть не менее 250 часов, но в области ИБ таких программ не существует. Минимальная длительность «наших» программ начинается с 506 часов, которые требуются для получения/продления лицензии ФСТЭК/ФСБ. Поэтому будущему ответственному за ИБ в организации придется потратить 4 (!) месяца на переподготовку по направлению ИБ, что немало. Повезло банковским ИБшникам — они все эти 500+ часов проходили перед получением лицензий ФСБ на деятельность в области шифрования.

Куда податься блогеру с 30-тилетним стажем в ИБ?
Алексей Лукацкий
К слову, лично я формально не имею высшего образования по ИБ. И хотя специализация по диплому у меня "Защита информации", в самом дипломе в качестве моей специальности указана "Прикладная математика". И что мне делать, куда идти за подтверждением своих знаний? Некоторые из преподавателей курсов по профессиональной переподготовке вообще учились у меня на курсах ????

А различные корпоративные университеты и образовательные проекты от Group-IB, Лаборатории Касперского, Positive Technologies и т.п. вряд ли по формальным признакам пройдут под новое Постановление. Хотя они-то как раз вполне могли бы закрыть новые требования к знаниям, умениям и компетенциям, установленным Правительством, среди которых появилась и такая важная тема как Security Governance, которой у нас, к сожалению, никто не учит. А еще в списка обязательных знаний — измерение эффективности ИБ, антикризисное управление, управление проектами, безопасность цифровой трансформации и т.п.

Интересно, ИБшные УЦ (Информзащита, АИС и иже с ними) будут делать облегченные программы профпереподготовки? Ведь заму по ИБ не нужны многие знания, которые даются будущим лицензиатам ФСБ, но нужны другие.

Требования к тому, что ответственный организует, осуществляет и контролирует комментировать не буду — там все понятно и вопросов у меня не вызывает. А вот откуда в проекте Постановление появилось требование взаимодействия с НКЦКИ непонятно — в Указе про это не было сказано ничего. Да, между строк читалось, что необходимость обнаруживать, предотвращать и ликвидировать последствия надо в соответствии с видением ФСБ, но Правительство решило, что это никак не сделать без взаимодействия с этой спецслужбой и прямо вписало в должностные обязанности либо заключать соглашение с НКЦКИ напрямую, либо через аккредитацию службы ИБ как центра ГосСОПКИ, либо через сторонние аккредитованные центры ГосСОПКИ.

А что, теперь просто обратиться в НКЦКИ за помощью и советом, не имея аккредитации или соглашения нельзя?

Мягко, но твердо Правительство включило обязанность ответственного реагировать на запросы со стороны федеральных органов исполнительной власти, уполномоченных в области информационной безопасности, предоставляя им достоверные сведения о результатах реализации политики ИБ (фактически достигнутом эффекте и результате) и текущем уровне (состоянии) информационной безопасности в организации. Может и зарплаты тогда они будут платить?..

Прав ответственному отвесили аж 15 пунктов, но все предельно неконкретно ???? Можно было хотя бы включить в Постановление требование о регулярном повышении квалификации ответственного, чтобы хотя бы поучиться можно было чему-то полезному с заданной периодичностью, но нет. Право на обеспечение всех хотелок, нужных для исполнения обязанностей тоже дали, но опять же совсем неконкретно и как к этому отнесется руководство организации (к которому теперь относится и главный за ИБ) непонятно. Как говорится «съесть-то он съест, но кто ж ему даст«. Если уж «рубить с плеча», то можно было бы вписать процент, который организация должна тратить на ИБ от ИТ-бюджета или от бюджета всей организации. Было бы круто!

Типовое положение по подразделению ИБ

Типовое положение о подразделении больших сюрпризов не принесло. Про численность его не сказано ни слова, что и понятно, сложно типизировать службу ИБ условного Сбербанка или Газпрома и обычного ломбарда или курьерской службы. И хотя про различные оценки численности ИБ я уже писал , формализовать их на уровне НПА достаточно сложно. Хотя методику расчета такой численности иметь было бы и неплохо (я про нее тоже уже писал ).

Про подчинение службы ИБ были опасения, которые Правительство успешно обошло. Служба должна подчиняться или ответственному за ИБ, либо любому другому руководителю при условии осуществления кураторства со стороны… нет, не главного за ИБ, а самого руководителя организации. В чем смысл такого кураторства не совсем понятно, если честно. Да, службы ИБ часто подчиняется ИТ, но это же не значит, что это надо оставлять «как есть». Теперь же получается, что ответственный за ИБ в компании будет назначен, но если ИБ входила раньше в состав ИТ и никто оргштатную структуру менять не захочет, то у нового ответственного не будет никаких рычагов влияния на службу ИБ — ведь курировать ее будет не он, а гендиректор, которому этого еще и не хватало.

Упоминание обеспечения киберустойчивости в деятельности подразделения по ИБ заслуживает похвалы, а вот требование взаимодействия с НКЦКИ вновь вызывает мое удивление. Ну почему тогда нельзя было в Указ это прямо так и записать?

Вот такой вот проект. Надежд на внесение изменений в него нет, но теперь хотя бы понятно, куда все это будет развиваться, а это уже немало. Хотя, все-таки не дело Правительства заниматься такими темами, не дело. Пусть лучше экономикой занимаются.

Заметка О новых Постановлениях Правительства о руководителе ИБ и службе ИБ была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!